医療情報システム導入時のポイント/各種ランサムウェアでのサイバー攻撃を踏まえて
-
業種
病院・診療所・歯科
- 種別 レポート
医療DXコンサルティング03
弊社では、2002年から2017年までの15年間、医療情報システムの常設総合展示場「MEDiPlaza(メディプラザ)」を東京・大阪・福岡で展開していました。常設展示場は役割を終えたため2017年に閉鎖いたしましたが、そこで培った経験値を活かして、現在も電子カルテをはじめとした医療情報システムの導入支援コンサルティングを行っています。これが、弊社が医療DX支援コンサルティングを行ったり、病院へのRPA導入支援を行ったりしている背景となっています。
【医療DX支援コンサルティング】
https://nihon-keiei.co.jp/service/hospital/strategy-hosp/dx-strategy/
【医療・介護施設へのRPA導入支援】
https://service.nkgr.co.jp/rpa/
PR:「医療DX・病院DX戦略コンサルティング」はこちら
2021年に徳島県つるぎ町立半田病院(120床)でのランサムウェアでのサイバー攻撃は、治療行為を含む正常な病院業務が約2カ月間滞ったことで、社会に衝撃を与えました。
また、2022年にも地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター(865床)が、ランサムウェアでのサイバー攻撃を受けました。高度救命救急センターや地域周産期母子医療センターを持つ基幹病院が、サイバー攻撃により正常な病院業務が出来なくなったことは、まさにサイバーテロといえる状況です。
つるぎ町立半田病院報告書から考える対策
2022年6月7日に前述したつるぎ町立半田病院より「コンピュータウイルス感染事案有識者会議調査報告書」が公表されています(徳島県つるぎ町立半田病院 コンピュータウイルス感染事案有識者会議調査報告書について)。
そのサマリを私なりに整理すると、以下のようになります。
何が問題か?(What)
| リモートメンテナンスする際に外部と接続するVPN接続時にランサムウェアが侵入 | 医療情報システムはインターネットと切り離された閉鎖域で構成される。その保守としてVPN接続でのリモートメンテナンスを行うが、VPN接続でインターネットと接続する際にウイルスが侵入した。 |
どこで起きたか?(Where)
| 脆弱性が高いVPN装置を使用 | 2019年から2021年まで4回もセキュリティの脆弱性に問題があると注意喚起されてきたVPN装置を利用し続けていた。 |
| サポート切れのOS(Windows7)を継続利用 | 2020年1月にサポートが終了したWindows7を2021年も使用し続けていた。 |
| Windowsアップデートが無効の設定 | 電子カルテ導入時に不具合が生じたため、そもそも導入時からWindowsアップデートが無効の設定になっていた。 |
| ウイルス対策ソフトを使用していなかった | 電子カルテ導入時に不具合が生じたため、ウイルス対策ソフトを動作しない設定にしていた。 |
| 短いパスワード設定 | パスワードの最小桁数が5桁と短く、機械的な「総当たり攻撃」でパスワードが解読されやすくなっていた。 |
| ロックアウト設定が無効 | パスワードのログオン失敗時、一定時間ログオンを制限する設定になっていなかった。その結果、機械的な「総当たり攻撃」でのパスワード解読を防止できなかった。 |
| 全ての管理者IDが共通 | 全ての管理者IDが共通のため1台感染した場合、他の端末を管理者権限で操作できてしまった。 |
| ユーザーを管理者権限に特権昇格させる際の制御設定がない | 上記でウイルスがユーザー権限から管理者権限へ特権昇格して操作を行う際、画面上での同意確認ステップがなかった。そのため、感染拡大を時間的に遅延させられなかった。 |
なぜ起きたか?(Why)
| メーカー・ベンダーとの責任の所在が契約上曖昧 | 電子カルテのメーカー(報告書のC社)と導入・保守ベンダー(報告書のA社)の双方と契約しており、「アプリケーション(ソフト)はC社」、「PCなどのハードとOS等の提供と設定はA社」と領域で分かれていた。ソフトとハードは一体で使用するが、契約が一元化されていなかったため、責任の所在が不明確になった。 その結果、ウイルス侵入の起点となったVPN機器も2010年にC社が設置し、その後、導入・保守ベンダーのA社が更新しているが、設定は旧VPNのままにしていた。WindowsアップデートなどもC社製電子カルテへの不具合が出るため、C社がA社に無効にするように指示している。 |
責任の所在が不明確なため、こうした無責任なセキュリティ設定が放置されていました。これだけの設定の不備が重なれば、ランサムウェアが容易に侵入してしまうと思います。
医療情報システム導入時の契約の一元化
弊社では従来からも電子カルテをはじめとした医療情報システム導入支援を行ってまいりましたが、病院の医療情報システムは基幹システムとしての電子カルテと各種部門システムを連携して構築されています。
また、基幹システムである電子カルテの開発元のメーカーと実際に導入や導入後の保守を行うベンダーが異なることが多いことも病院の医療情報システムの特徴です。特に中小規模の病院の場合は、電子カルテの開発元であるメーカーが直接保守することがほとんどなく、上記報告書のように電子カルテのメーカー(報告書のC社)と導入・保守ベンダー(報告書のA社)が異なることになります。
どうすべきか?(How)
そこで、弊社が支援する場合には、基幹システムの導入・構築を担うベンダーに基幹システムである電子カルテのアプリケーション(ソフト)や各種部門システムもまとめて調達してもらい、(保守契約は除き)契約を一元化することをお勧めしています。そうしなければ、ソフトとハードを一体にしてシステムを活用しているのに、トラブル時にその責任の所在が分からなくなるからです。特に、今回の報告書では、トラブル発生時の責任の所在だけではなく、その曖昧さから無責任なセキュリティ設定が放置されていたことも分かりました。こうした無責任なシステム導入・構築やその後の保守が起きているケースも世の中にあることが伝わってきました。
また、基幹システムの導入・構築、保守を担うベンダーの選定時に「医療情報システム要求仕様書」を作成することをお勧めしています。この「医療情報システム要求仕様書」を複数社のベンダーに送付して回答してもらい、その回答内容と金額、そしてデモンストレーション時の院内スタッフのアンケートの3つで総合評価するようにしています。
1.機能 2.費用 3.操作性 という3つの視点です。
「医療情報システム要求仕様書」は、1.機能の評価軸として活用します。また、「医療情報システム要求仕様書」で導入する端末数などを揃えて提案するように要求しておかなければ見積金額も前提が異なるので、2.費用の判断軸もブレてしまいます。当然、搭載する機能に差があればデモンストレーションでの印象も変わってしまうので、3.操作性にも影響が出ます。そこで、「医療情報システム要求仕様書」の作り込みがカギだと思っています。
今回の事案のように脆弱性の高いVPN機器を使ったり、パスワードの桁数が少なかったりすればサイバー攻撃の餌食となります。なお、まだ調査段階ですが、2022年の大阪急性期・総合医療センターでのサイバー攻撃においても、つるぎ町立半田病院と同一の脆弱性の高いVPN機器が使われていたという報道があります。
弊社が医療情報システム導入支援を行う際は、単に自院にあった業務内容を確実に履行できる業務プロセスが可能か?を調べるだけではなく、事業継続性の観点として、保守要件なども「医療情報システム要求仕様書」に盛り込むことをアドバイスしています。
今回のつるぎ町立半田病院「コンピュータウイルス感染事案有識者会議調査報告書」は、様々な教訓を与えてくれたレポートだと思います。一度、熟読されてはいかがでしょうか?
本稿の執筆者
太田昇蔵(おおた しょうぞう)
株式会社日本経営 副部長
大規模民間急性期病院の医事課を経て、2007 年入社。電子カルテなど医療情報システム導入支援を経て、2012 年病院経営コンサルティング部門に異動。現在は、病院CX (組織変革)のための人事制度改革を支援するとともに、D(デジタル化)のための医療情報システム・RPAの導入支援を手掛ける。2005年西南学院大学大学院経営学研究科博士前期課程修了、 2017 年グロービス経営大学院 MBA コース修了。
株式会社日本経営
本稿は掲載時点の情報に基づき、一般的なコメントを述べたものです。実際の経営の判断は個別具体的に検討する必要がありますので、専門家にご相談の上ご判断ください。本稿をもとに意思決定され、直接又は間接に損害を蒙られたとしても、一切の責任は負いかねます。
